域穿透3354使用MachineAccount实现DCSync

0x00 前言

之前的文章《域渗透——DCSync》提到了DCSync的使用条件：

从下列任何用户处获取权限：

管理员组中的用户

域管理员组中的用户

企业管理员组中的用户

域控制器的计算机帐户

本文将完成上一篇文章没有提到的最后一个利用方法，介绍如何通过域控制器的计算机帐户密码哈希实现DCSync。

0x01 简介

本文将介绍以下内容：

机器帐户简介

一种获取机器账户密码哈希的方法

使用MachineAccount实现DCSync

防御探测

0x02 MachineAccount简介

MachineAccount是每台计算机安装系统后默认生成的计算机帐户。

计算机帐户的密码存储在注册表中：HKLM \安全\策略\机密\ $机器. acc

如果计算机加入域，计算机帐户的密码将与域控制器同步，并保存在域控制器的NTDS.dit文件中。

默认情况下，计算机帐户的密码每30天自动更新一次，密码长度为120个字符。所以，即使获取了电脑账号密码的哈希，也很难还原电脑账号的明文密码。

关闭当前计算机帐户密码自动更新的两种方法（适用于工作组）：

1.修改组策略

组策略位置：

计算机配置\Windows设置\安全设置\本地策略\安全选项\

如下图

默认情况下不启用。如果设置为启用，它将停止更新密码。

参考资料：

https://docs . Microsoft . com/en-us/先前版本/windows/it-pro/windows-server-2003/cc 785826(v=ws . 10)

2.直接修改注册表。

注册表位置：hklm \ system \ current control set \ services \ netlogon \ parameters \

将DisablePasswordChange的值设置为1。

关闭域内计算机帐户密码自动更新的两种方法（适用于域网络）：

1.修改组策略

这里，您需要修改域组策略。在域控制器上打开组策略管理后，选择默认域策略。

如下图

组策略位置：

计算机配置\Windows设置\安全设置\本地策略\安全选项\

2.修改组策略的配置文件。

defaultpolicy对应的Guid是31b2f 340-016d-11d 2-945 f-00 c 04 FB 984 f 9。

配置文件路径是：

\ \ \ SYSVOL \ \ Policies \ { 31b2f 340-016d-11d 2-945 f-00 c 04 FB 984 f 9 } \ MACHINE \ Microsoft \ Windows NT \ SecEdit

例如，在我的测试环境中，路径对应于：

\ \ test . com \ SYSVOL \ test . com \ Policies \ { 31 b2f 340-016d-11 D2-945 f-00 c 04 FB 984 f 9 } \ MACHINE \ Microsoft \ Windows NT \ SecEdit

修改文件GptTmpl.inf并在[注册表值]下添加新内容：

MACHINE \ System \ current control set \ Services \ Netlogon \ Parameters \ DisablePasswordChange=4，1

如下图

使用以下命令强制域控制器更新组策略：

gpupdate /force

配置完成，系统时间设置为30天，哈希保持不变。

0x03 获得MachineAccount口令hash的方法

1.通过注册表文件导出当前计算机帐户的口令hash

mimikatz命令的示例：

权限：调试

token:提升

lsadump:秘密

在返回的结果中，$machine。ACC项对应的是电脑账号，如下图所示

关于从注册表导出的其他方法，请参考以前的文章《渗透技巧——通过SAM数据库获得本地用户hash》。

2.使用DCSync导出所有计算机帐户的口令hash

(1)使用mimikatz

在域控制器上使用mimikatz导出域中所有用户的哈希。命令示例：

mimikatz.exe ' LSA dump:DC sync/domain:test . com/all/CSV '退出

其中计算机帐户以$字符结尾。

其他环境使用请参考之前的文章《域渗透——DCSync》。

(2)使用secretsdump.py

你需要安装Python环境并打包。在实际使用中，可以将Python代码编译成exe文件。

命令示例：

python secretsdump.py测试/管理员：DomainAdmin123！@192.168.1.1

与mimikatz相比，secretsdump.py最大的优点是支持从域外的计算机连接到域控制器。

secretsdump.py的实现原理：

使用计算机帐户的密码哈希通过smbexec或wmiexec远程连接到域控制器并获得高权限，然后从注册表导出本地帐户的哈希，通过Dcsync或从NTDS.dit文件导出所有域用户的哈希。

3.通过漏洞CVE-2020-1472

参考资料：

https://www.secura.com/pathtoimg.php?id=2055

CVE-2020-1472可以在未经授权的状态下远程修改目标计算机帐户的密码哈希。

注：

CVE-2020-1472您只能修改保存在域控制器NTDS.dit文件中的计算机帐户哈希，而不能修改保存在注册表中的本地计算机帐户哈希。

当域控制器中的NTDS.dit文件和注册表文件的计算机帐户密码哈希不同步时，可能会影响系统的正常功能。

0x04 使用MachineAccount实现DCSync

例如，我们获得了域控制器DC1的计算机帐户的密码哈希为7 da 530 FBA 3a 15 a2 ea 21 ce 7 db 8110d 57b。

1.使用mimikatz

在这里，您需要制作银票，然后获得LDAP服务。具体可参考之前的文章《域渗透——Pass The Ticket》。

命令示例：

mimikatz ' Kerberos:golden/domain:test . com/sid:S-1-5-21-254706111-4049838133-2416586677/target:dc1 . test . com/service:LDAP/RC4:7 da 530 FBA 3 b 15 a2 ea 21 ce 7 db 8110d 57 b/user:krbtgt/PTT ' ' LSA dump:DC sync/domain:test . com/all/CSV ' exit

在细节上注意以下几个方面：

它只能在域内的计算机上运行，不能在域外运行。

/sid表示域的sid。获取方法请参考之前的文章《渗透基础——活动目录信息的获取》。

/rc4表示计算机帐户的NTLM哈希。

/user:krbtgt表示伪造成用户krbtgt生成票据。

注：域sid的简单获取方法

删除任何域用户的sid后的最后一位是该域的sid

2.使用secretsdump

命令示例：

python secrets dump . py-hashes:7da 530 FBA 3a 15 a2 ea 21 ce 7 db 8110d 57 b test/DC1 $ @ 192 . 168 . 1 . 1

在细节上注意以下几个方面：

Secretsdump支持从域外的计算机连接到域控制器。

如果使用域中普通计算机帐户的密码哈希连接相应的计算机，将会失败，提示rpc_s_access_denied。

Cmd命令可以通过wmiexec.py或smbexec.py远程执行

命令示例：

python smbexec . py-hashes:7 da 530 FBA 3 b 15 a2 ea 21 ce 7 db 8110d 57 b test/DC1 $ @ 192 . 168 . 1 . 1 whoami/priv

python wmiexec . py-hashes:7 da 530 FBA 3 b 15 a2 ea 21 ce 7 db 8110d 57 b test/DC1 $ @ 192 . 168 . 1 . 1 whoami/priv

注：

使用具有高权限的计算机帐户，如下图所示

0x05 防御检测

检测DCSync后门的方法参见《域渗透——DCSync》。

从防御的角度来说，如果域管理员的权限被攻击者获得，在试图踢出攻击者的过程中，不仅需要修改域管理员用户的密码，还需要更新计算器帐户的密码哈希，从而检查域组策略是否配置为启用DisablePasswordChange。

0x06 小结

介绍了通过域控制器的计算机帐户密码哈希实现DCSync的方法，分析了利用的思路，并给出了一些防御建议。

留下回复